Açık kaynaklı bir deneyim yönetim platformu olan Formbricks’te keşfedilen kritik bir güvenlik kusuru, eksik JWT imza doğrulamasının tam hesap devralmalarına yol açabileceğini gösteriyor.
CVE-2025-59934 olarak izlenen güvenlik açığı, 4.0.1’den önceki tüm sürümleri etkiler ve JWT.Verify () yerine JWT.Decode () kullanan uygunsuz jeton doğrulamasından kaynaklanır ve saldırganların kimlik doğrulama kontrollerini tamamen atlamasına izin verir.
Güvenlik açığı güvenlik araştırmacısı Mattinannt tarafından açıklandı ve kullanıcı hesaplarına yetkisiz erişim potansiyeli nedeniyle kritik olarak sınıflandırıldı.
Formbricks o zamandan beri bu güvenlik sorununu ele almak için 4.0.1 sürümünü yayınladı, ancak eski sürümleri yürüten kuruluşlar önemli risk altında.
JWT doğrulama güvenlik açığı
Çekirdek güvenlik açığı, /formbricks/apps/web/lib/jwt.ts adresinde bulunan token doğrulama rutininde mevcuttur.
Sorunlu kod, yalnızca temel güvenlik kontrollerini gerçekleştirmeden JWT jetonlarını kodlayan bir doğrulama işlevi uygular:
Bu uygulama, dijital imzalar, jeton süresi, ihraççı doğrulaması ve kitle doğrulaması dahil kritik JWT bileşenlerini doğrulayamamaktadır.
İşlev, JWT yapısını kriptografik validasyon olmadan ayrıştıran JWT.Decode () kullanır ve meşruiyetine bakılmaksızın uygun şekilde biçimlendirilmiş JWT’yi otantik olarak ele alır.
Hem e -posta doğrulama jeton giriş yolu hem de şifre sıfırlama işlevi bu kusurlu validatöre dayanır.
Parola sıfırlama isteklerini işlerken, sistem doğrulanmamış JWT yükünden kullanıcı kimliğini çıkarır ve ilgili kullanıcının şifresini güncellemek için veritabanını doğrudan sorgular.
Bu bypass mekanizması, bir kurbanın kullanıcısına sahip olan saldırganların “ALG” kullanarak kötü niyetli JWT’ler oluşturmasına izin verir: “Yok” algoritma başlığı, doğrulamayı geçen imzasız jetonlar oluşturur.
İstismar minimum önkoşul gerektirir – saldırganlar yalnızca Formbricks’in standart formatını (örneğin, CMFUC8PK600VXFJUD7BCl2W) takip eden hedef kullanıcının benzersiz tanımlayıcısını keşfetmelidir.
Saldırı, JWT başlıklarında “Yok” algoritma spesifikasyonundan yararlanır, bu da imza doğrulaması yapılmaması gerektiğini gösterir.
Konsept kanıtı, kötü niyetli bir JWT oluşturan bir Python betiği kullanarak jeton sahteciliğini gösterir:
Saldırı dizisi şu adımları izler: Saldırgan {“alg”: “yok”, “tip”: “jwt”} ve kurbanın kullanıcı kimliğini içeren yükü olan bir JWT üretir, dövme jetonu içeren bir şifre sıfırlama URL’si oluşturur ve formu yeni bir şifre ile gönderir.
Sunucunun VerifyToken işlevi imzasız jetonu kabul eder, kullanıcı kimliğini çıkarır ve imza doğrulaması yapmadan şifre güncellemesiyle devam eder.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Formbricks <4.0.1 |
| Darbe | Ayrıcalıkları yükseltin ve bir kurbanın hesabını devralın |
| Önkoşuldan istismar | Kurbanın gerçek kullanıcısını bilin. Hazırlanmış JWT’yi e -posta doğrulama jeton giriş yoluna veya şifre sıfırlama sunucusu eylemine gönderin. Mağdurdan ayrıcalık ve kullanıcı etkileşimi yok. |
| CVSS 3.1 puanı | 9.4 (kritik) |
Bu saldırı vektörü, kriptografik validasyonun olmamasının tüm JWT tabanlı güvenlik modelini etkisiz hale getirdiği temel bir kimlik doğrulama baypas güvenlik açığı gösterir.
Güvenlik açığı, şifre sıfırlama işlevselliğini ve e -posta doğrulama süreçlerini etkiler ve potansiyel olarak Formbricks kurulumlarında yaygın hesap uzlaşmasını sağlar.
Etkilenen FormBricks sürümlerini kullanan kuruluşlar, hemen 4.0.1 veya daha sonraki sürümlere yükseltilmeli ve şüpheli şifre sıfırlama etkinlikleri için kimlik doğrulama günlüklerini gözden geçirmelidir.
Düzeltme, savunmasız jwt.decode () yöntemi yerine jwt.Verify () kullanılarak uygun JWT imza doğrulamasını uygular, bu da yalnızca kriptografik olarak geçerli tokenlerin kullanıcıları doğrulamasını ve şifre sıfırlamaları gibi hassas işlemleri yetkilendirmesini sağlar.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
